freeradius整合AD域作anyconncet认证服务器

一、服务器要求

Radius服务器：centos6.6、hostname、selinux  disabled、stop iptables

AD域服务器：Windows Server 2008 R2 Enterprise、AD-host.example.com（提前搭建好的AD域）

目的：只做用户名密码的认证

域名先解析：#vim /etc/hosts

　　　　　　　　IP  AD-host.example.com

　　　　　　　　IP  hostname

二、RADIUS的工作过程

1. 用户输入用户名密码等信息到客户端

2. 客户端产生一个接入请求报文到RADIUS服务器，其中包含了用户名，密码，客户端ID和用户访问端口的ID，密码都是经过MD5加密的。

3.
RADIUS服务器对用户进行认证

4. 如果认证成功，RADIUS服务器想客户端发送允许接入包，否则就发送拒绝接入包。

5. 若客户端接受到允许接入包，则为用户建立连接，对用户进行授权和提供服务；若接受到拒绝接入包，则拒绝用户接入请求。

6. 客户端发送计费请求给RADIUS服务器

7.
RADIUS服务器接受到计费请求包后开始计费，并向客户端回送开始计费的响应包。

8. 用户断开连接，客户端发送停止计费包给RADIUS服务器

9.
RADIUS服务器接收到停止计费包后停止计费，并向客户端发送停止计费响应包，完成该用户的一次计费，记录计费信息。

三、安装freeradius与AD结合需要用的组件

#yum  install 
samba  krb5-server  freeradius 
freeradius-utils  freeradius-mysql

四、配置samba

samba作为freeradius和AD域沟通的桥梁装在freeradius服务器上

#vim  /etc/samba/smb.conf

[global]

workgroup
= example

#
----------------------- Domain Members Options ------------------------

security
= ads  #ads设置必须在这项里面

realm = example.com

password
server = (AD-IP)

samba的ads模式（活动目录模式）：

　　这是linux系统samba服务器的一种新型工作模式，用于把samba服务器加入到windows服务器活动目录域中，并具备活动目录域控制器的功能。这时samba服务器就相当于一台域控制器了，可以自己使用活动目录中的账户数据库对用户的访问进行身份验证。

　　#/etc/init.d/smb
start

　　#/etc/init.d/nmb
start

　　#chkconfig
nmb on

　　#chkconfig
smb on

五、修改系统账号验证

# vim
/etc/nsswitch.conf（名字服务切换配置）

此文件规定通过哪些途径以及按照什么顺序通过这些途径来查找特定类型的信息。还可以指定某个方法奏效或者、失效时系统将采取什么动作。配置格式如下：

Info：method[[action]]
[method[[action]]…]

Info指定该行所描述的信息的类型，method位用来查找该信息的方法，action是对前面的method返回状态的响应。

工作原理：当需要提供nsswitch.conf文件所描述的信息的时候，系统将检查含有适当info字段的配置行。它按照从左向右的顺序开始执行配置中指定的方法。在默认情况下，如果找到期望的信息，系统将停止搜索。如果没有指定的action，那么当某个方法未能返回结果时，系统就会尝试下一个动作。有可能搜索结束都没找到想要的信息。

nsswitch.conf文件末尾添加以下几行：

passwd:     files
winbind

　　　　　shadow:     files winbind

　　　　　group:      files winbind

　　　　　protocols:   files winbind

　　　　　services:      files winbind

　　　　　netgroup:    files
winbind

　　　　　automount:   files
winbind

六、设置kerberos认证机制

#vim /etc/krb5.conf

在配置ads模式samba服务器时/etc/krb5.conf 配置文件是必须配置的。它作为kerberos身份验证模块，可以使samba服务器对windows AD域有更好的支持。

[logging]

default =
FILE:/var/log/krb5libs.log

kdc =
FILE:/var/log/krb5kdc.log

admin_server =
FILE:/var/log/kadmind.log

　　　　　[libdefaults]

default_realm = EXAMPLE.COM

dns_lookup_realm =
false

dns_lookup_kdc =
false

ticket_lifetime =
24h

renew_lifetime =
7d

forwardable = true

　　　　　[realms]

　　　　　EXAMPLE.COM
{

　　kdc =
AD-host.example.com

　　　　　}

　　　　　[domain_realm]

.example.com = EXAMPLE.COM

example.com = EXAMPLE.COM

七、配置KDC服务

# vim
/var/kerberos/krb5kdc/kdc.conf

[realms]

EXAMPLE.COM = {

#master_key_type = aes256-cts

acl_file = /var/kerberos/krb5kdc/kadm5.acl

dict_file = /usr/share/dict/words

admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab

　　supported_enctypes
= aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal
des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal des-cbc-crc:v4
des-cbc-crc:afs3

}

八、测试samba和kdc是否可以正常通信

#kinit administrator@example.com

这一步回车正常情况下是会让输入用户的密码Password for administrator@example.com：

安装kerberos软件后，必须配置KDC服务器。KDC提供颁发凭证的服务。

#/etc/init.d/winbind
start

#chkconfig winbind on

九、将freeradius加入域并测试是否同步域账号

#net rpc join –U
administrator

Password:输入密码

。。。

Joined
domain  test

#wbinfo –t 检查rpc链接是否成功

。。。

checking the
trust secret via RPC calls succeeded

# wbinfo –u  获取用户信息

一堆用户出现

#wbinfo –g  获取组信息

一堆组出现

#getent passwd

一堆不知道什么用户密码出现

十、freeradius服务配置

freeradius的配置文件几乎都在/etc/raddb目录下

#vim
/etc/radius.conf   这个文件好像也没什么好改的

#vim /etc/users

DEFAULT  Auth-Type = ntlm_auth  这个要打开

#vim /etc/clients.conf   设置客户端信息

client IP(anyconnect) {

secret          = cisco

shortname       = freeRADIUS

nastype         = other

　　}

#vim
/etc/raddb/sites-available/default

authorize {  ntlm_auth } //最后一行添加

authenticate
{Auth-Type ntlm_auth { ntlm_auth } }

#vim
/etc/raddb/sites-available/inner-tunnel

authorize {
ntlm_auth }

authenticate
{Auth-Type ntlm_auth { ntlm_auth } }

#vim
/etc/raddb/sites-enabled /default

authorize {  ntlm_auth } //最后一行添加

authenticate
{Auth-Type ntlm_auth { ntlm_auth } }

#vim
/etc/raddb/sites-enabled/inner-tunnel

authorize {
ntlm_auth }

authenticate
{Auth-Type ntlm_auth { ntlm_auth } }

最后这两个文件夹的四个文件是映射的关系。但是本服务器未做映射，自便

#/etc/raddb/modules/ldap

ldap {

server =
“IP(AD的IP地址)”

identity
= "CN=zabbix,ou=特殊账户,dc=example,dc=com"

password
= "password"

　　　basedn = "DC=example,DC=com"

　　　filter =
"(uid=%{%{Stripped-User-Name}:-%{User-Name}})"

}

#vim
/etc/raddb/modules/ntlm_auth

exec ntlm_auth {

wait = yes

program = "/usr/bin/ntlm_auth
--request-nt-key --domain=EXAMPLE.COM --username=%{mschap:User-Name}
--password=%{User-Password}"

　　}

#vim /etc/raddb/modules/mschap  编辑mschap模块，使用ntlm_auth做MS_CHAP认证

　　　ntlm_auth
= "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None}
--domain=%{%{mschap:NT-Domain}:-EXAMPLE.COM} --challenge=%{mschap:Challenge:-00}
--nt-response=%{mschap:NT-Response:-00}"

#vim
/etc/raddb/policy.conf   修改策略

policy {

ntlm_auth.authorize
{

if(!control:Auth-Type
&& User-Paaword){

　　　　       　　　　　　update control {

　　　　　　　　　　　　Auth-Type := ntlm_auth

　　　　　　　　　　　　}

　　　　　　　　　　}

}

　　　　　　}

十一、最终测试

#chown –R root.radiusd /var/lib/samba/winbindd_privileged

#/etc/init.d/winbind
restart

　　　#radiusd –X   开启freeradius的debug模式

#radtest –t mschap 域账号 ‘密码’  localhost 0 testing123

用域账号密码本地测试，如果收到Access-Accept的回复，说明freeradius和AD域整合成功！

此次整合是为anyconnect vpn做准备，和anyconnect vpn正常通信的因素：

　　　　1)       
账号要是域账号里面存在的

　　　　2)       
freeradius服务器要设置client端信息

　　　　3)       
认证协议要统一，此次认证使用的协议是ms-chap